Seguridad informática

CUIDEMOS NUESTROS DATOS PESONALES

¿QUÉ ES EL PHISHING?

El termino Phishing es utilizado para referirse a uno de los métodos más utilizados* por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. Los afectados son usuarios de servicios por internet, usualmente desinformados y/o desprevenidos que, confiando en la buena fe de su interlocutor, proporcionan información personal pensando que están realizando una gestión con fines correctos.

El estafador, conocido como phisher, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.

El daño puede ir desde simplemente quedarse con su cuenta de e-mail a efectos de conformar (por parte del atacante) una base de datos para el envío de spam, hasta cruzar la información robada con otros datos personales del usuario vulnerado (sacados de redes sociales, por ejemplo) para intentar entrar a las cuentas de sitios web sociales, sistema bancario vinculados, etc.

Lamentablemente la conducta de algunos usuarios de repetir el uso de la misma contraseña para sitios web de distinto nivel de importancia, es uno de las principales puertas de acceso para el robo de información.

¿CÓMO SE LLEVA A CABO UN ATAQUE DENOMINADO "PHISHING"?

El escenario de phishing generalmente está asociado con la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso.La principal manera de llevar adelante el engaño es a través del envío de spam (correo no deseado) e invitando al usuario a acceder a la página señuelo. A menudo estos correos llegan a la bandeja de entrada disfrazados como procedentes de departamentos de RRHH o tecnología, comercios que conocemos o somos clientes, entidades financieras/bancarias, empresas que otorgan préstamos al consumo, etc.

Una vez en el sitio falso, los usuarios incautos son engañados para que ingresen sus datos confidenciales. Con esta información los delincuentes proyectan la posterior acción delictiva (estafas, fraudes, etc.).

Es bueno hacer notar que las empresas poco pueden hacer para prevenir este tipo de ataques. Prácticamente todo el entorno delictivo se da por fuera de la infraestructura informática de las mismas. Los e-mails viajan desde un sitio hackeado a una cuenta de e-mail del cliente hosteada en un servidor cualquiera. El cliente es invitado a hacer un click sobre un link que lo lleva a otro sitio web que nada tiene que ver con la empresa que es mencionada. Se ingresa información sobre un sitio web muy parecido al de la empresa, pero totalmente ajeno al control de la misma. Capacitar y mantener informado a nuestros usuarios es el mejor método para poder tener navegación en internet lo más segura posible.

Las recomendaciones para evitar y prevenir el phishing son:

• Evitar los correos electrónicos sospechosos, vienen de destinatarios desconocidos e invitan a hacer click sobre un link para una actividad que habitualmente resulta incoherente o poco probable de ser real.

• Evitar abrir archivos adjuntos que vengan en el e-mail si Ud no tiene realmente un interés previo identificado. No hacer click sobre los link que trae el correo electrónico. Si Ud conoce la entidad a la cual se le está invitando ingresar, escriba Ud mismo la dirección ya conocida de antemano.

• Sospechar de cualquier e-mail que le solicite o invite a cambiar o confirmar información personal. Si bien pueden llegar a venir de personas o empresas conocidas, el delincuente puede perfectamente reemplazar los datos del remitente conocido haciéndose pasar por él. Las entidades de gobierno, empresas consolidadas del mercado, organizaciones, etc., nunca le solicitarán datos confidenciales por medios de comunicación como el correo electrónico.

• Observar bien en la barra de navegación de su navegador cual es el dominio web al cual Ud está conectado. Los sitios falsos habitualmente se arman sobre servidores y dominios totalmente distintos al que la empresa vinculante está asociada. Abitab S.A. dispone de su propio dominio “abitab.com.uy” y “abitabfamilia.com.uy”. Otra forma de saber si realmente se está ingresando al sitio original, es corroborar que la dirección web de la página comience con https y no http. La "s" final brinda un alto nivel de confianza y demuestra que estamos navegando por una página web cuyo enlace es seguro. De cualquier forma, siempre controle el dominio (ejemplo de dominio: abitab.com.uy).

• Si tiene dudas sobre la legitimidad de un correo llame por teléfono a la compañía a un número que conozca de antemano. Nunca llame a los números que vienen en los mensajes recibidos. El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio. Resulta recomendable examinar los estados de cuenta de sus cuentas o tarjetas de crédito para detectar cualquier actividad inusual.

• Use antivirus y firewall en su PC personal.